Питання необхідності SSL-сертифікатів залишається відкритим серед веб-майстрів. Особисто моя думка, за гроші я б не став їх встановлювати, а за безкоштовно - природно, так!

Докладніше мою думку та інструкції щодо отримання та автоматичного продовження безкоштовних SSL-сертифікатів можна знайти в наступних матеріалах:

• Безкоштовне отримання та налаштування автоматичного продовження дійсних сертифікатів SSL
• Особливості використання валідних SSL-сертифікатів

Цю замітку я пишу, щоб додати до вищенаведеного матеріалу одну новину та один «лайф-хак».

Новина полягає в тому, що тепер безкоштовні SSL-сертифікати Let's Encrypt підтримують і ви зможете захистити за допомогою HTTPS усі свої сайти!

Отримати безкоштовні SSL-сертифікати від Let's Encrypt з автоматичним продовженням можна, наприклад, для своїх сайтів.

Там установка SSL-сертифіката, як і раніше, проводиться в розділі «Домени» панелі управління , навпроти кожного домену є кнопка «SSL». Тобто. буквально в один клік, на процедуру потрібно до 5 хвилин. Сертифікати будуть продовжуватись автоматично. І, головне, вони завжди будуть безкоштовними! Більше інформації у нотатці «».

Безкоштовні SSL-сертифікати для доменів третього рівня (піддоменів/субдоменів)

Серед безкоштовних сертифікатів різних фірм немає WildCard SSL-сертифікати. WildCard – це підтримка субдоменів. Wildcard сертифікат дозволяє використовувати його на всіх піддоменах вашого основного домену. Цей сертифікат буде дійсним на піддоменах типу www.domain.ru, forum.domain.ru, my.domain.ru і т.д. без обмежень на кількість піддоменів. При створенні запиту на Wildcard сертифікат як Common Name (CN) необхідно використовувати "*.domain.ru", де domain.ru це ваше доменне ім'я.

Ціна таких сертифікатів починається від 2333 рублів. І серед безкоштовних відсутні Wildcard сертифікати. Проте це не означає, що ви не можете отримати справжній дійсний сертифікат на домен третього рівня. Це точно дозволяє зробити Comodo Trial SSL (можливо й інші – я не перевіряв). Реальний робочий приклад: Подивіться властивості сертифікату – він виданий на три місяці, він абсолютно безкоштовний, але він і для домену тур'яного рівня!

Процес отримання безкоштовного SSL-сертифіката від Comodo Trial SSL докладно описаний у нотатці «». Там я це роблю на панелі (купувати платні послуги абсолютно необов'язково).

Замість доменного імені (наприклад, у моєму випадку замість kali.tools) вказуйте субдомен (у моєму випадку en.kali.tools).

Висновок

Популярність SSL-сертифікатів продовжує швидко збільшуватися. Зараз, мабуть, вже майже не залишилося по-справжньому великих сайтів без HTTPS. Не можу сказати за всіх користувачів, але коли я заходжу на сайт без HTTPS (коли не горить зелений замочок), у мене виникає відчуття, що цей сайт покинутий. Особливо дивно виглядають офіційні сайти програм, на яких пропонується завантажити без HTTPS файл. І я б ніколи не став (і вам не раджу) вводити номери кредитних карток та персональні дані з документів на сайти без HTTPS. Справа навіть не в тому, що дані можуть перехопити (хоча і це теж), вже давно для банківських сайтів, сайтів, що працюють із платежами, HTTPS став стандартом. І якщо його там немає – то цьому сайту не варто довіряти в жодному разі.

Хоча у зворотний бік це правило не працює. Якщо ви зайшли на сайт з HTTPS, це не означає, що сайт не може бути шахрайським. Як я вже описував раніше – отримати валідний сертифікат може абсолютно будь-хто. А вивчаючи випадки шахрайства в Інтернеті можна знайти достатньо прикладів сайтів шахраїв та фінансових пірамід з повною атрибутикою серйозності – проплачені на 10 років домени та SSL-сертифікат із перевіркою домену та організації (останнім часом, вже навіть не завжди офшорною).

Клієнти FirstVDS з панеллю ISPmanager на віртуальному сервері можуть встановлювати безкоштовні сертифікати Let's Encrypt для будь-якої кількості сайтів. Let's Encrypt є звичайним SSL-сертифікатом з перевіркою домену (DV), який видається на необмежений термін.

Як встановити сертифікат?

1. Зайдіть в панель ISPmanager із правами супер-користувача (root).

2. Перейдіть до розділу Інтеграція → Модулі, встановіть безкоштовний плагін Let's Encrypt

3. Перейдіть до Установки web-сервера → SSL-сертифікати, виберіть Let's Encrypt

4. Виберіть користувача та домен, на який потрібно встановити сертифікат. Домен може бути делегований, тобто. по ньому має відкриватися сайт – інакше сертифікат не буде виданий. Заповніть решту форми.

5. Сертифікат автоматично встановиться на сайт із вибраним доменом. Спочатку на сайт встановлюється самопідписаний сертифікат, який після завершення процесу замінюється на повноцінний. Дочекайтеся випуску сертифіката - тип повинен змінитись на « Існуючий».

6. Готово! Ваш сайт захищений підписаним сертифікатом Let's Encrypt - в адресному рядку має бути зелений замок. Сертифікат діє безстроково.

Навіщо підходить?

Сертифікати Let's Encrypt підходять для захисту веб-сайтів. Сертифікат не вдасться використовувати для підпису коду та шифрування email.

Які типи перевірки виконуються?

Тільки перевірка домену(DV, domain validation). Підтримка перевірок OV та EV відсутня та не планується.

Як швидко випускається?

Сертифікат Let's Encrypt випускається та починає працювати протягом кількох хвилин. Головна умова - домен, якого прив'язується сертифікат, може бути делегований. Перевірити просто: напишіть доменне ім'я сайту в адресному рядку браузера та натисніть Enter. Якщо ви побачите свій сайт, то все гаразд – можна приступати до отримання сертифікату.

Скільки діє сертифікат?

Вічнопри наявності на сервері панелі керування ISPmanager. За відсутності панелі сертифікат не триватиме! Чому так? Сертифікати Let's Encrypt випускаються на 3 місяці. Плагін ISPmanager оновлює сертифікат автоматично за 7 днів до закінчення чергового терміну. У цьому випадку оновлювати сертифікат доведеться вручну кожні 3 місяці, або самостійно налаштувати авто-оновлення за допомогою стороннього програмного забезпечення.

Чи визначатиметься сертифікат браузерами як довірений?

Так буде. Підтримується більшість сучасних браузерів. Детальну інформацію щодо сумісності можна знайти на офіційному форумі підтримки.

Чи можна використовувати з комерційною метою?

Так можна. Саме з цією метою сертифікат і створювався.

Чи підтримуються національні домени (IDN)?

Сертифікати Let's Encrypt підтримують IDN- Доменні імена з використанням символів національних алфавітів. Ви можете використовувати сертифікат для кириличних доменів типу мойсайт.рф.

Чи підтримуються піддомени (wildcard)?

Сертифікати Let's Encrypt підтримують wildcard . Перевіряються такі сертифікати лише через DNS-записи.

Чи підтримується мультидомен (SAN)?

Ні. Сам сертифікат підтримує SAN до 100 різних доменів, але автоматизований процес прив'язки панелі виключає використання цієї можливості. Кожен домен доведеться налаштовувати окремо.

Як налаштувати автоматичний редирект на HTTPS?

Навіть якщо на сайті встановлений сертифікат, відвідувач може набрати в браузері адресу через http://... , або перейти за старим посиланням у пошуковій системі. У цьому випадку його підключення не буде безпечним, і він не дізнається, що сайт використовує SSL-сертифікат для шифрування даних, що передаються. Щоб усі запити відвідувачів сайту шифрувалися сертифікатом, необхідно налаштувати редирект HTTP → HTTPS .

Редирект на зв'язці Apache+Nginx

1. У панелі керування ISPmanager перейдіть до Домени → WWW-домени, виберіть домен із сертифікатом та натисніть Редагувати.

2. У налаштуваннях встановіть галочку Перенаправляти HTTP-запити в HTTPS і застосуйте зміни.

3. Готово! Всі запити до сайту проходять через безпечне підключення HTTPS .

Редирект на чистому Apache

Увага!Усі зміни у конфігураційному файлі Apache ви робите на свій страх і ризик! Налаштування, описані нижче, спрацюють для більшості випадків, але можуть викликати проблеми на специфічних конфігураціях. Довіртеся фахівцям, якщо не впевнені в результаті змін, що вносяться.

1. У панелі керування ISPmanager перейдіть до Домени → WWW-домени, виберіть домен із сертифікатом та натисніть Конфіг.

• Tutorial

Тиснемо Sing-up і переходимо до реєстрації, де заповнюємо невелику форму. Усі поля обов'язкові до заповнення, потрібно вводити дані, можуть перевірити вашу особу та відкликати сертифікат, заблокувати обліковий запис. Адресу потрібно вказувати домашній, а не робітник. Також бажано щоб при реєстрації використовувалася латиниця - це допоможе скоротити той час за який підтвердять реєстрацію акаунту.

Нам пропонують ввести код перевірки, який був висланий на email. Вводимо. Далі нам пропонують вибрати розмір ключа для сертифіката (для авторизації на сайті) 2048 або 4096.

Сертифікат згенерований, і ми маємо підтвердити його встановлення у браузер.

Верифікація домену

Перед отриманням сертифікату нам потрібно підтвердити право на володіння доменом. Для цього переходимо до розділу Validations Wizard і вибираємо пункт Domain Name Validation

Вводимо домен

Вибираємо email, на який буде надіслано листа для підтвердження (postmaster, hostmaster, webmaster або email з whois)

Отримуємо лист і вводимо код із нього в поле. Все - підтверджений домен, можна приступати до генерації сертифіката. Протягом 30 днів ми можемо генерувати сертифікат. Далі слід буде повторити процедуру верифікації.

Генерація сертифіката

Ідемо до розділу Certificates Wizard і там вибираємо Web Server SSL/TSL Certificate

Далі у нас два варіанти - або натиснути на Skip і ввести запит на генерацію сертифіката, або генерувати все в майстрі. Припустимо, запиту сертифіката у нас немає, тому генеруватимемо все в даному майстрі.

Вводимо пароль для ключа (мін. 10 символів - макс. 32) та розмір ключа (2048\4096).

Отримуємо та зберігаємо ключ.

Вибираємо домен, для якого генеруватимемо сертифікат (домен має бути вже підтверджений).

Нам дають право на включення до сертифікату один піддомен - нехай буде стандартний www.

Отримали трохи інформації про сертифікат, тиснемо на Continue.

Тепер чекаємо на підтвердження співробітником StartSSL сертифіката. Обіцяють протягом 3-х годин, проте на практиці все відбувається набагато швидше, мені довелося чекати 10 хвилин. Раніше замовляв уночі – приблизно за такий самий час підтверджували запит.

Отримання сертифіката

Нам залишилося лише отримати сертифікат та встановити його на сервері. Ідемо в Tool Box -> Retrieve Certificate, вибираємо домен і копіюємо сертифікат.

Про встановлення не писатиму, інформація є на хабрі і на StartSSL.

Проходимо перевірку (2-й рівень верифікації)

Для зняття обмежень на безкоштовний сертифікат потрібно пройти ідентифікацію. Для цього в Validations Wizard вибираємо Personal Identity Validation, проходимо кілька кроків і пропонують завантажити документи


Для завантаження документів потрібно лише вибрати їх у полі. Завантажити потрібно не менше 2-х документів, що підтверджують вашу особу (головний розворот паспорта, права водія, посвідчення особи, картку соціального забезпечення, свідоцтво про народження і т.д., я завантажував головний розворот паспорта та студентського квитка). Можуть запросити додаткові документи - у мене запросили рахунок за телефон, в якому вказана моя адреса, номер телефону та ім'я, в якості альтернативи можна отримати аналогової поштою лист для верифікації адреси.

Все, на цьому підготовку до верифікації закінчено. Вам має прийти лист від підтримки з подальшими інструкціями. Після закінчення верифікації ви зможете випускати WildCart сертифікати протягом 350 днів. Далі потрібно буде проходити перевірку наново.

Декілька фактів про StartSSL

• 25 травня 2011 року StartSSL був підданий атаці мережевих зломщиків (у простолюдді хакерів), проте отримати фіктивні сертифікати їм не вдалося. Закритий ключ, що лежить в основі всіх операцій, зберігається на окремому комп'ютері, не підключеному до Інтернету.
• StartSSL постачає крім SSL сертифікатів для Web, сертифікати для шифрування пошти (S/MIME), для шифрування серверів XMPP (Jabber), сертифікати для підпису Object code signing certificates).
• StartSSL перевіряє вірність встановлення сертифікатів. Після встановлення сертифіката (через деякий час) я отримав повідомлення про відсутність проміжного сертифіката та посилання на інформацію щодо установки.
  Після встановлення проміжного сертифіката надійшов відповідний лист.
• StartSSL підтримується безліччю ПЗ: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, Iphone, Windows
• Доброзичлива підтримка російською мовою
• Порівняльна таблиця варіантів верифікації

Додати теги 3 вересня 2011 року о 17:36

Отримуємо безкоштовний SSL сертифікат

• Системне адміністрування

• Tutorial

Тиснемо Sing-up і переходимо до реєстрації, де заповнюємо невелику форму. Усі поля обов'язкові до заповнення, потрібно вводити дані, можуть перевірити вашу особу та відкликати сертифікат, заблокувати обліковий запис. Адресу потрібно вказувати домашній, а не робітник. Також бажано щоб при реєстрації використовувалася латиниця - це допоможе скоротити той час за який підтвердять реєстрацію акаунту.

Нам пропонують ввести код перевірки, який був висланий на email. Вводимо. Далі нам пропонують вибрати розмір ключа для сертифіката (для авторизації на сайті) 2048 або 4096.

Сертифікат згенерований, і ми маємо підтвердити його встановлення у браузер.

Верифікація домену

Перед отриманням сертифікату нам потрібно підтвердити право на володіння доменом. Для цього переходимо до розділу Validations Wizard і вибираємо пункт Domain Name Validation

Вводимо домен

Вибираємо email, на який буде надіслано листа для підтвердження (postmaster, hostmaster, webmaster або email з whois)

Отримуємо лист і вводимо код із нього в поле. Все - підтверджений домен, можна приступати до генерації сертифіката. Протягом 30 днів ми можемо генерувати сертифікат. Далі слід буде повторити процедуру верифікації.

Генерація сертифіката

Ідемо до розділу Certificates Wizard і там вибираємо Web Server SSL/TSL Certificate

Далі у нас два варіанти - або натиснути на Skip і ввести запит на генерацію сертифіката, або генерувати все в майстрі. Припустимо, запиту сертифіката у нас немає, тому генеруватимемо все в даному майстрі.

Вводимо пароль для ключа (мін. 10 символів - макс. 32) та розмір ключа (2048\4096).

Отримуємо та зберігаємо ключ.

Вибираємо домен, для якого генеруватимемо сертифікат (домен має бути вже підтверджений).

Нам дають право на включення до сертифікату один піддомен - нехай буде стандартний www.

Отримали трохи інформації про сертифікат, тиснемо на Continue.

Тепер чекаємо на підтвердження співробітником StartSSL сертифіката. Обіцяють протягом 3-х годин, проте на практиці все відбувається набагато швидше, мені довелося чекати 10 хвилин. Раніше замовляв уночі – приблизно за такий самий час підтверджували запит.

Отримання сертифіката

Нам залишилося лише отримати сертифікат та встановити його на сервері. Ідемо в Tool Box -> Retrieve Certificate, вибираємо домен і копіюємо сертифікат.

Про встановлення не писатиму, інформація є на і на StartSSL .

Проходимо перевірку (2-й рівень верифікації)

Для зняття обмежень на безкоштовний сертифікат потрібно пройти ідентифікацію. Для цього в Validations Wizard вибираємо Personal Identity Validation, проходимо кілька кроків і пропонують завантажити документи


Для завантаження документів потрібно лише вибрати їх у полі. Завантажити потрібно не менше 2-х документів, що підтверджують вашу особу (головний розворот паспорта, права водія, посвідчення особи, картку соціального забезпечення, свідоцтво про народження і т.д., я завантажував головний розворот паспорта та студентського квитка). Можуть запросити додаткові документи - у мене запросили рахунок за телефон, в якому вказана моя адреса, номер телефону та ім'я, в якості альтернативи можна отримати аналогової поштою лист для верифікації адреси.

Все, на цьому підготовку до верифікації закінчено. Вам має прийти лист від підтримки з подальшими інструкціями. Після закінчення верифікації ви зможете випускати WildCart сертифікати протягом 350 днів. Далі потрібно буде проходити перевірку наново.

Декілька фактів про StartSSL

• 25 травня 2011 року StartSSL був підданий атаці мережевих зломщиків (у простолюдді хакерів), проте отримати фіктивні сертифікати їм не вдалося. Закритий ключ, що лежить в основі всіх операцій, зберігається на окремому комп'ютері, не підключеному до Інтернету.
• StartSSL постачає крім SSL сертифікатів для Web, сертифікати для шифрування пошти (S/MIME), для шифрування серверів XMPP (Jabber), сертифікати для підпису Object code signing certificates).
• StartSSL перевіряє вірність встановлення сертифікатів. Після встановлення сертифіката (через деякий час) я отримав повідомлення про відсутність проміжного сертифіката та посилання на інформацію щодо установки.
  Після встановлення проміжного сертифіката надійшов відповідний лист.
• StartSSL підтримується безліччю ПЗ: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, Iphone, Windows
• Доброзичлива підтримка російською мовою
• Порівняльна таблиця варіантів верифікації
• startssl

Додати теги

Для чого потрібний SSL-сертифікат

HTTP-протокол, за яким зараз передається більшість html-сторінок в мережі Інтернет, не може захистити дані, що передаються між сервером та браузером відвідувача. До таких даних можна віднести будь-яку інформацію, що передається: паролі, номери телефонів, e-mail і т.д.

Забезпечити захист переданих даних допомагає встановлення SSL-сертифікат. У цьому випадку з'єднання між веб-переглядачем і сайтом відбувається за протоколом HTTPS. Дані, що передаються за протоколом HTTPS, кодуються криптографічним протоколом, тим самим забезпечується їх захист.

Установка SSL-сертифікат на ваш сайт дозволяє:

Для інтернет-магазину наявність SSL-сертифіката дозволить використовувати такі сервіси як Google Merchant і деякі платіжні шлюзи, наприклад, Яндекс.Касу.

Наявність SSL-сертифіката є одним із факторів пошукового ранжування для ПС Google та Яндекс. Сервіс Яндекс Вебмайстер також виводить повідомлення з рекомендацією використовувати SSL-сертифікат:

Більш детальна інформація про необхідність використання SSL-сертифіката є у .

2 способи підключення SSL-сертифіката для домену інтернет-магазину на InSales

Замовити SSL-сертифікат через бек-офіс сайту

Для замовлення SSL-сертифіката через бек-офіс інтернет-магазину на InSales перейдіть до розділу Установки -> Домени -> Натисніть на ім'я домену, до якого потрібно підключити SSL-сертифікат.

В налаштуваннях домену потрібно вибрати на яких сторінках сайту використовувати HTTPS:

1. Тільки при оформленні замовлення- це найбезпечніший варіант у випадку, якщо сайт вже проіндексований пошуковими системами. При використанні HTTPS тільки для сторінки оформлення замовлення шифруються сторінки кошика та оформлення замовлення. На індексацію сайту це не вплине.

2. Для всього сайту- у цьому випадку виконуватиметься шифрування всіх сторінок сайту. Актуально використовувати для нових сайтів, які ще не проіндексовані пошуковими системами. Якщо сайт вже проіндексований в інструментах пошукових систем для веб-майстрів, потрібно буде внести відповідні налаштування, щоб сторінки сайту не випадали з індексу.

Після натискання на кнопку "Зберегти"буде виконано перенаправлення на сторінку "Ваші домени", де у домену, до якого підключається SSL-сертифікат, буде статус "Очікує оплати", а в розділі "Акаунт"буде виставлено рахунок отримання SSL-сертифіката.

Для оплати отримання SSL-сертифіката перейдіть до розділу "Акаунт" -> "Рахунки"та сплатіть рахунок будь-яким зручним способом.

Після оплати рахунку SSL-сертифікат буде автоматичнопідключений для вашого домену протягом 4-х годин (для всіх старих url-адрес буде сформовано 301-і редиректи на соотв. сторінки з https відповідно до вимог пошукових систем).

Після цього перехід сайту до HTTPS завершиться.Вам необхідно буде лише додати версію сайту на https в Яндекс Вебмайстер і вказати її як головне дзеркало у розділі Індексування - Переїзд сайту:

Протягом кількох днів після надсилання заявки прийде повідомлення про зміну головного дзеркала. Також Ви можете додати версію сайту на https до Google Search Console. При цьому жодних додаткових налаштувань для Google виконувати не потрібно.

Додатково:Якщо ви вносили зміни до файлу robots.txt, варто замінити директиви, що містять адресу домену з http на https.

Завантажити свій SSL-сертифікат

До домену, прив'язаному до сайту на InSales, також можна підключити сторонній сертифікат SSL.

Ми підтримуємо всі типи SSL-сертифікатіввід будь-яких постачальників.

Щоб підключити сторонній SSL-сертифікат, зверніться до свого постачальника. Приватний ключі всю Ланцюжок сертифікатів.

Надані постачальником сертифіката дані необхідно надіслати нам у з проханням підключити сертифікат для вашого домену. У запиті вкажіть домен та спосіб підключення SSL-сертифіката: для всього сайтуабо тільки для сторінки оформлення замовлення та кошика.